Я настраиваю сервер freeradius (версия 3.0.16) на устройстве ubundu 18.04, и я буду использовать его для аутентификации доступа администратора к сетевым устройствам для целей управления. Он не хранит пароли пользователей локально. Он будет проксировать запросы аутентификации к Windows NPS (также работающему со службой radius), у которого есть доступ к Windows AD для учетных данных пользователя. Идея состоит в том, что этот сервер freeradius не аутентифицирует пользователей сам по себе, а только предоставляет VSA пользователям после успешной аутентификации, чтобы предоставить им соответствующий доступ на коммутаторах, маршрутизаторах, межсетевых экранах и т. Д. c
Я надеялся, что добавление имени пользователя и VSA в таблицы radusercheck, radusergroup и radgroupreply поможет. Однако после нескольких неудачных тестов и поиска в Google это кажется неправильным. Я читал, что правильным способом было бы использовать пост-прокси. Пожалуйста, поправьте меня, если я, конечно, ошибаюсь. Вот несколько записей, которые я поместил в mariaDB.
insert into radgroupreply values (1, 'FortinetFullAccess', 'Fortinet-Group-Name', ':=', 'RW');
insert into radgroupcheck values (1, 'FortinetFullAccess', 'Proxy-To-Realm', ':=', '<realm name>');
insert into radusergroup values ('dzhao', 'FortinetFullAccess', 10);
Я еще не пробовал использовать пост-прокси, потому что я действительно хочу использовать базу данных для хранения информации, а не текстов в пост-прокси файл. Возможно ли это?
Спасибо!